|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
24-03-2004, 12.12.19 | #1 |
Gold Member
Top Poster
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
|
W32.Netsky.P - Allerta 5 - Update
(ASCA) - Roma, 23 mar - Lunedi' 22 marzo Trendlabs di Trend Micro ha dichiarato un allarme di livello medio per la nuova variante di Netsky, Netsky.p. Trend Micro ha al momento ricevuto segnalazioni di questa variante da Europa e Stati Uniti. Il worm e' il nuovo 'virus' nella ormai nota 'guerra' fra i creatori di 'Netsky' e 'Bagle'. Come l'ultima variante di Bagle (Q), Netsky.p sfrutta una vulnerabilita' di Internet Explorer. Il worm utilizza nomi celebri come 'Britney Spears' ed 'Eminem' nei file che copia, mentre il corpo del messaggio contiene dichiarazioni, apparentemente provenienti da produttori di antivirus, secondo le quali 'nessun virus' e' stato rilevato. Questo codice maligno si propaga attraverso varie tecniche - via e-mail usando il proprio motore Simple Mail Transfer Protocol, sfruttando una nota vulnerabilita' di Internet Explorer, attraverso condivisioni di rete - e il ricorso al ''social engineering''. L'e-mail che il worm invia ha vari soggetti, corpi di messaggi e nomi di file allegati. Raccoglie indirizzi e-mail da file con determinate estensioni. Ha inoltre l'abilita' di propagarsi attraverso condivisione di rete copiando se stesso nelle cartelle condivise dei sistemi colpiti. E' la prima variante di Netsky che sfrutta una nota vulnerabilita' di Internet Explorer che comporta la vulnerabilita' dell'intestazione Mime non corretta (MS01-020) per eseguire il worm quando la e-mail viene letta. Maggiori informazioni su questa vulnerabilita' sono disponibili all'indirizzo http://www.microsoft.com/technet/sec...MS01-020.mspx. Anche la recente variante di Bagle (Bagle.Q) che si e' diffusa la scorsa settimana utilizzava una tecnica simile. Netsky.p ha inoltre un payload per la cancellazione di specifiche chiavi di registro, se esistono. Questo worm residente in memoria e' compresso con l'uso di Up, e opera su Windows 95, 98, Me, Nt, 2000 e Xp. Una volta che Worm_Netsky.p ha infettato un Pc crea alcune registry entry in modo tale che venga eseguito automaticamente ad ogni avvio di Windows e creando ulteriori chiavi di registro, si registra quale servizio. Il messaggio e-mail inviato dal worm proviene da un indirizzo conosciuto. L'oggetto del messaggio varia, ma include numerosi esempi apparentemente innocui, come 'Protected Mail Request', 'Mail Authentication'. Il corpo del messaggio contiene dettagli che sembrano originati da un produttore di antivirus e dichiarano che nessun virus e' stato rilevato. I clienti di Trend Micro sono protetti da Nertsky.p, attraverso l'ultimo pattern file, numero 832. I clienti di Outbreak Prevention Services possono scaricare il modulo Opp 99 per proteggersi dalla diffusione di questa minaccia. Per I clienti di Damage Cleanup Services, Damage Cleanup e' disponibile il template # 296. Tutti gli altri utenti possono usare il servizio free on line di Trend Micro, Housecall all'indirizzo http://housecall.trendmicro.com. Per maggiori informazioni: http://www.trendmicro.com/vinfo/viru...WORM_NETSKY.P. Ultima modifica di Giorgius : 24-03-2004 alle ore 12.22.30 |
24-03-2004, 12.15.38 | #2 |
Gold Member
Top Poster
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
|
Aliases:
W32.Netsky.P@mm (Symantec), WORM_NETSKY.P (Trend Micro), W32/Netsky.P@mm (PerAntivirus), W32/Netsky.p@MM (McAfee), W32/Netsky.P.worm (Panda Software), Win32.Netsky.P (Computer Associates), NetSky.P (F-Secure), W32/Netsky-P (Sophos), Win32/Netsky.Q (Enciclopedia Virus (Ontinent)), I-Worm.NetSky.q (Kaspersky (viruslist.com)) Effetti: Due to an increase in the rate of submissions, Symantec Security Response has upgraded W32.Netsky.P@mm to a Category 3 from a Category 2 threat as of March 22, 2004. W32.Netsky.P@mm (also known as W32.Netsky.Q@mm) is a mass-mailing worm that uses its own SMTP engine to send itself to the email addresses it finds when scanning the hard drives and mapped drives. The worm also tries to spread through various file-sharing programs by copying itself into various shared folders. The From line of the email is spoofed, and its Subject line and message body of the email vary. The attachment name varies with the .exe, .pif, .scr, or .zip file extension. The worm uses the Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability to cause unpatched systems to auto-execute the worm when reading or previewing an infected message. This threat is compressed with FSG. Info: http://www.symantec.com/avcenter/ven...tsky.p@mm.html http://www.enciclopediavirus.com/vir...rus.php?id=785 http://www.f-secure.com/v-descs/netsky_p.shtml http://www.pandasoftware.es/virus_in...&idvirus=45740 http://es.trendmicro-europe.com/ente...TSKY.P&VSect=T http://www.pspl.com/virus_info/worms/netskyp.htm Aggiornamento AntiVirus al 23/03/04 (Y) Ultima modifica di Giorgius : 24-03-2004 alle ore 12.22.16 |
24-03-2004, 12.17.43 | #3 |
Gold Member
Top Poster
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
|
Virus: Sophos Segnala w32/netsky-p
(ASCA) - Roma, 22 mar - Un nuovo identity file (Ide) e' disponibile sul sito di Sophos e sara' incluso nella versione di maggio 2004 (3.81) di Sophos Anti-Virus. Finora Sophos non ha ricevuto alcuna segnalazione su W32/Netsky-P, un worm costituito da un file a 32 bit. Sophos ha deciso comunque di rilasciare questo alert in seguito alle richieste giunte alla sua unita' di assistenza ai clienti. Maggiori informazioni su W32/Netsky-P sono disponibili all'indirizzo http://www.sophos.com/virusinfo/anal...2netskyp.html. E' possibile scaricare il file Ide da www.sophos.com/downloads/ide/netsky-p.ide. Per informazioni su come usare i file Ide: www.sophos.com/downloads/ide/using.html. Virus: Rischio Medio Per w32netsky.p@mm (ASCA) - Roma, 23 mar - I laboratori Mcafee Avert (Anti-Virus Emergency Response Team), la divisione di ricerca antivirus di Network Associates, hanno aumentato la valutazione di rischio a medio al worm W32Netsky.p@MM, conosciuto anche come Netsky.p. W32Netsky.p@MM e' un worm prolifico che si diffonde tramite posta elettronica, auto inviandosi agli indirizzi residenti sul computer della vittima. Questo worm presenta molte delle stesse funzionalita' dei suoi predecessori Netsky, tre dei quali sono attualmente considerati a rischio medio. I ricercatori Mcafee Avert hanno individuato il worm ieri mattina e al momento hanno ricevuto oltre 100 segnalazioni di Netsky.p sia direttamente da clienti che da email autogenerate dal virus da clienti in tutto il mondo. La maggior parte degli esempi di Netsky.p ricevuti da Mcafee Avert proviene da clienti piuttosto che da mail generate dal virus stesso, che camuffa gli indirizzi per diffondere il virus. Si tratta di una tecnica comune attualmente utilizzata da molti virus, tra cui quelli appartenenti alle tre principali famiglie Mydoom, Bagle e Netsky. Netsky.p e' un worm Internet che, una volta attivato, si autoinvia agli indirizzi trovati sul computer della vittima. Il worm cerca quindi di installarsi sui drive da C: a Z: e sfrutta la vulnerabilita' MS01-020 annunciata (e per cui e' gia' disponibile la patch) da Microsoft nel 2001. Questa vulnerabilita' consente l'autoesecuzione di file allegati nell'e-mail su sistemi con Microsoft Internet Explorer 5.01 o 5.5 senza Service Pack 2. Ulteriori informazioni e il relativo aggiornamento sono disponibili all'indirizzo http://www.microsoft.com/technet/sec...MS01-020.mspx. Mcafee Avert raccomanda agli utenti di aggiornare i loro sistemi e di cancellare qualsiasi messaggio che contiene quanto segue: From: (indirizzo contraffatto prelevato dal sistema infetto) Subject: (uno dalla lista seguente) Stolen document Re:Hello Mail Delivery (failure sender address) Private document Re:Notify Re:document Re:Extended Mail System Re:Proctected Mail System Re:Question Private document Postcard Corpo del messaggio: (uno dalla lista seguente) I found this document about you. I have attached it to this mail. Waiting for authentification. Please confirm! Protected message is available Do not visit this illegal websites! Here is my phone number. I cannot believe that. Your file is attached. For further details see that attachment. Congratulations!, your best friend. Greetings from france, your friend. If the message will not displayed automatically, follow the link to read the delivered message. Received message is available at: (forged web link.) Una volta eseguito, Netsky.p si autoinvia come allegato .Zip con un nome di file presto dalle stringhe contenute nel worm. Lancia una query al server Dns per il registro Mx e si collega direttamente al Mail Transfer Agent del dominio obiettivo dell'attacco e invia il messaggio. Il worm quindi si copia nella directory Windows con il nome di file 'Fvprotect.exe'. Il worm aggiunge una chiave di registro che lo aiuta ad attivarsi all'avvio del sistema. Informazioni sul virus e le cure per questo worm sono disponibili all'indirizzo http://vil.nai.com/vil/content/v_101119.htm. Inoltre, gli utenti di prodotti anti-virus Mcafee Security devono aggiornare i propri sistemi e utilizzare il motore 4340 (che include protezione anche per Netsky.c) o successivi per bloccare potenziali danni. |
24-03-2004, 12.21.01 | #4 |
Gold Member
Top Poster
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
|
Tool di rimozione:
|
25-03-2004, 19.35.57 | #5 |
Gold Member
Top Poster
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
|
ha colpito ieri 2 pc, nonostante F-Prot fosse aggiornato all'ultime DEF è arrivato il momento di dare un KICK a F-Prot oggi ho rimediato al danno.. ma in 24h in un pc ha infettato 1324 file (repliche di se ovunque )
___________________________________
... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica.... Beppe Grillo |
25-03-2004, 21.30.36 | #6 |
WT Italian Team Leader
Top Poster
Registrato: 07-11-2001
Loc.: Everywhere with Monster Fede: Desmocredente
Messaggi: 7.677
|
I sono ancora in ufficio alle prese con l'ultimo pc... 9850 file per adesso
___________________________________
www.TyDany.it News! -> Il mio sito... la mia vita e le mie passioni... TyFoto.it -> TyDany Fotografia, fotografie sportive, ritratti, paesaggi... Tutto quello che è stato ora non è più... come un colpo di spugna che tutto cancella... |
26-03-2004, 14.37.07 | #7 |
Gold Member
Top Poster
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
|
cavolo... ma doveva essere dentro da tempo....
___________________________________
... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica.... Beppe Grillo |
29-04-2004, 21.03.22 | #8 |
Junior Member
Registrato: 27-02-2004
Loc.: Roma
Messaggi: 116
|
Ogni giorno ricevo tra i 15 e i 20 messaggi contenenti il virus w32.netsky.p@mm
Norton lo individua e lo rimuove subito. Mi chiedo se c'è un modo per evitare di ricevere queste e-mail, magari configurando outlook in qualche maniera... mi scoccia dover scaricare ogni giorno tutta questa spazzatura, vorrei riuscire a bloccarla "a monte". C'è un modo? Grazie |
29-04-2004, 21.42.35 | #9 |
Gold Member
Top Poster
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
|
Purtoppo no, devono essere i Gestori (e non i singoli navigatori) del collegamento Internet (specie quelli con contratto di abbonamento) ad offrire la sicurezza contro queste "pestilenze" della rete.
Alcuni Providers, come Ngi (alias I.Net), offrono un buon Sistema di rilevamento Virus direttamente all'interno dei Server Mail. |
29-04-2004, 21.52.50 | #10 |
Junior Member
Registrato: 27-02-2004
Loc.: Roma
Messaggi: 116
|
Peccato
Grazie per la pronta risposta |
06-05-2004, 12.51.28 | #11 |
Gold Member
Top Poster
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
|
In questi giorni si fa un gran parlare di Sasser, ma io giusto ieri ho ricevuto un paio di NetSky.P su un account di posta che è sempre stato esente da SPAM e WORM
Sa fate un salto sul sito Trend Micro Virus Information vi accorgerete che è tutt'ora questo il worm + diffuso
___________________________________
"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky |
07-05-2004, 04.29.19 | #12 |
Guest
Messaggi: n/a
|
La cura per Sasser è un worm
La nuova variante del virus Netsky si diffonde via e-mail e si presenta come cura al temuto Sasser. Gli utenti sono come civili in una guerra il cui campo di battaglia è la rete. [ZEUS News - www.zeusnews.it - Security Update, 06-05-2004] E' recente la scoperta di una nuova variante del virus Netsky (o Skynet), la .ac, che si diffonde attraverso e-mail che sembrano provenire da note aziende antivirus, allo scopo di eliminare e immunizzare il destinatario dal noto worm Sasser. In allegato viene fornita una patch in grado di eseguire la rimozione automatica, che in verità attiva il worm stesso. La nuova versione di Netsky non viene classificata come altamente pericolosa: il suo scopo sembra essere quello di inviarsi a tutti gli indirizzi della rubrica del computer infetto tramite messaggi dalle caratteristiche variabili e la disattivazione di eventuali varianti di Beagle. La diffusione del worm sfrutta la paura crescente del ben più dannoso Sasser, che provoca addirittura il ripetuto riavvio dei computer infetti; a detta dei maggiori esperti i due worm sembrano essere "fratelli", ovvero figli dello stesso padre. Confrontando il codice dei due virus sono state scoperte alcune analogie: per esempio messaggi in cui si dichiara che virus come MyDoom non possono cancellare Netsky, o la cancellazione, nel registro di sistema, di stringhe create da Beagle. La paternità dei due worm, Sasser e Netsky, sembra essere addirittura rivendicata da un'affermazione degli autori di Netsky.ac: questo worm all'interno del codice nasconde un messaggio in cui i writer, con ironia, sfidano le aziende antivirus a indovinare il perché del nome Sasser, invitantole a un confronto dei server Ftp utilizzati da Sasser e da Skynet. Ecco il testo del proclama: "Hey, av firms, do you know that we have programmed the sasser virus?!?. Yeah thats true! Why do you have named it sasser? A Tip: Compare the FTP-Server code with the one from Skynet.V!!! LooL! We are the Skynet". Sfogliando e analizzando i dettagli tecnici degli ultimi virus è evidente che la loro continua diffusione nasce dalla sfida tra virus writer, che ha come effetto quello di creare non poche difficoltà ai normali utenti. Il tutto sembra essere iniziato da quando in rete si è diffusa la prima variante di netsky, che disattiva My Doom. My Doom a sua volta aveva rubato la scena a Beagle, successore di Klez e Sobig. Successivamente venne scoperta una nuova variante di Beagle, che si intrometteva nella "lotta" tra MyDoom e Netsky schierandosi contro quest'ultimo e denigrandone la sua apparente semplicità. Sasser sembra voler dimostrare le capacità tecniche degli autori di Netsky. La battaglia tra i padri degli ultimi worm si combatte a suon di messaggi contenuti nelle loro varianti. Eccone alcuni esempi. MyDoom a NetSky: "Agli autori di NetSky: secondo me, Skynet è una rete neurale peer-to-peer decentralizzata. Abbiamo visto il Peer-to-Peer solo in Slapper e in Sinit. Loro possono essere definiti Skynet, non la vostra applicazione di m..." Nota: Slapper e Sint sono due worm predecessori di Skynet in grado di creare reti peer to peer. BEagle.j: "Hey NetSky (...) wanna start a war?" ("vuoi iniziare una guerra?"). Netsky: "Bagle - you are a looser!!!!" ("Bagle, sei un perdente!"). Consigli e gli avvertimenti per evitare infezioni sono pubblicati ovunque e l'anello debole sembrano essere, ancora una volta, gli utenti, vittime civili di una guerra tra worm. |
07-05-2004, 13.23.44 | #13 |
Gold Member
Top Poster
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
|
"Netsky.AC" è un polpettone degli ultimi Virus in circolazione (modificati, per mettere KO il Pc infetto).
C'è qualcosa di peggio nella rete in queste ultime ore... Ci sono segnalazioni su di un "Trojan Virus" che sfrutta alcune falle di IE6 tramite un java script o simile, per controllare completamente in remoto il Pc infetto. Sicuramente, si tratta di un Trojan "ostico" che risiede in una di quelle finestre di IE6 che si aprono automaticamente in determinati Siti Spam (spazzatura) e non attraverso outlook.... Quindi, attenzione nella vostra navigazione in rete fuori dai soliti Siti Web che quotidianamente visitate. |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
AutoPatcher Vista June 2007 | giancarlof | Segnalazioni Web | 4 | 07-08-2007 22.16.05 |
Bios Updates | Billow | Archivio News Web | 0 | 08-11-2004 10.28.25 |
Bios Updates | Billow | Archivio News Web | 0 | 04-10-2004 18.04.22 |
Bios Updates | Billow | Archivio News Web | 0 | 17-09-2004 11.37.53 |
Bios Updates | Billow | Archivio News Web | 1 | 15-09-2004 01.08.01 |